자동으로 장비 발견하게 해주는 WSD, 이미 어디에나 만연한 기술
오류 메시지 유발시키면 최대 1만 5천%까지 트패픽을 증폭시킬 수 있게 돼[보안뉴스 문가용 기자] 보안 업체 아카마이(Akamai)가 “현재까지 목격해온 디도스 공격들 중 네 번째로 큰 규모의 공격이 진행되고 있다”는 내용의 보고서를 발표했다. 이에 따르면 이 공격은 WSD라는 기술을 활용한 증폭 기술을 통해 트래픽을 크게 부풀리면서 피해자의 네트워크를 마비시키는 중이라고 한다.
[이미지 = iclickart]
WSD는 웹 서비스 디스커버리(Web Services Discovery)의 준말로, WS-Discovery라고도 표기된다. 간단히 설명하면 장비를 검색해주는 기술인데, “최근 게임 산업을 겨냥해 WSD를 활용한 디도스 공격이 퍼지고 있다”고 한다. 이에 관한 상세한 내용을 아카마이의 사건 대응 팀 엔지니어인 조나단 레스페토(Jonathan Respeto)가 작성해 블로그에 올렸다.
WSD를 활용한 디도스 공격이 치명적인 건 두 가지 이유 때문이라고 한다.
1) 볼륨이 무척 높은 공격이 가능하다. 15,300%까지 트래픽을 증폭시킬 수 있다.
2) WSD는 사실상 거의 모든 곳에서 활용되고 있는 기술이다.
“WSD는 윈도우 기반 기계들이 네트워크 프린터 등을 자동으로 찾아서 연결 설정을 완료하는 데 사용되는 기술입니다. 이 점을 악용해 XML 오류 응답 메시지가 반복적으로 발생되도록 만들면 트래픽이 크게 증폭됩니다. 29바이트의 작은 공격용 페이로드만 전송하면 이런 공격을 실시할 수 있게 됩니다.” 그러면서 레스페토는 “이런 공격법을 활용하는 디도스 공격자들이 점점 늘어나고 있는 추세”라고 덧붙였다.
한편 WSD는 2008년 이후 HP에서 생산한 모든 프린터기에서 사용되는 기술이다. 마이크로소프트의 윈도우 OS의 경우 비스타부터 WSD가 사용되고 있다. 수많은 IoT 장비들에서도 WSD를 발견할 수 있다. 최근에 발표된 한 보고서에 의하면 WSD 기술이 적용된 IoT 장비는 최소 63만대라고 한다.
“이렇게 널리 활용되는 WSD이지만, 구축 상태가 불량한 경우가 많아 익스플로잇이 손쉬운 편입니다. 사실 WSD는 LAN이 연결성의 핵심인 시절에 만들어진 기술로, 인터넷 시대와는 어울리지 않습니다. 인터넷이 만연한 세상, 그래서 모든 기기가 항상 온라인 상태로 유지되는 시대 이전에 개발된 모든 기술들이 비슷한 사정입니다.”
레스페토는 “WSD를 적용시킨 제품을 개발하는 생산자들이 이 문제를 해결하지 않는 이상, 소비자들은 대규모 디도스 공격을 받을 수 있는 상태로 남아있게 된다”고 설명한다. “당하는 사람에게는 치명적일 수 있는데, 공격하는 사람은 투자할 것이 별로 없어요. 상당히 불공평한 게임이 진행되는 것이죠. 생산자 측에서의 조치가 필요합니다.”
아카마이는 “디도스 공격에 이런 식의 증폭 기술이 활용되면서 큰 피해를 낳기 시작한 건 최소 2016년부터”라고 설명한다. “DNS 서비스 업체인 딘(Dyn)이 미라이(Mirai)라는 봇넷 멀웨어에 감염된 사물인터넷 장비들로부터 디도스 공격을 받은 사건이 상당히 상징적입니다. 이 업체 하나가 당함으로써 트위터, 스포티파이, 깃허브 등 세계적으로 손꼽히는 업체들이 일제히 마비됐거든요. 그 때부터 여러 유형의 증폭 공격이 유행하기 시작했습니다.”
레스페토는 “WSD 증폭 공격이라는 것도 이제 공격자들 사이에서는 잘 알려진 기술”이라며 “문제는 방어자들 사이에서 이 기술의 방어법이 얼마나 빨리 퍼지느냐”라고 짚는다. 하지만 그리 희망적이지는 않다. 실질적으로 할 수 있는 일이 거의 없기 때문이다. “WSD 기술이 적용된 장비를 전부 교체하는 게 거의 유일한 해결 방안입니다. 다음 장비를 구매할 때 WSD 기술 존재 유무나 구축 상태의 안전성을 확인하는 것이 좋습니다.”
그러나 그건 그 다지 도움이 되는 조언이 아니다. 그래서 아카마이는 “디도스 완화 및 대응 장비나 솔루션을 도입하고, 디도스 공격이 일어났을 때 트래픽을 그리로 돌리는 방법을 마련해야 한다”고 권장한다. “완전히 막기는 힘들겠지만, 어느 정도 시간을 벌거나 피해를 최소화하는 데 도움이 될 겁니다.”
안타깝게도 문제 해결의 열쇠는 장비 제조사들이 쥐고 있다. “지금부터라도 WSD 기술을 보다 안전하게 구축해서 제품을 완성시켜야 합니다. 지금부터 그런 변화를 적용하면 적어도 10~15년 뒤에는 안전한 장비를 사용할 수 있지 않을까 합니다.”
3줄 요약
1. 게임 산업에서 엄청난 규모의 디도스 공격 발생함.
2. WSD라는 기술을 사용해 트래픽을 15,300%나 증폭한 공격이었음.
3. WSD 활용한 증폭 공격, 장비 생산자가 앞장서서 막아야만 함.
[국제부 문가용 기자(globoan@boannews.com)][출처 : 보안뉴스(www.boannews.com), https://www.boannews.com/media/view.asp?idx=83078&page=1&kind=1]
